統(tǒng).此外,還應(yīng)查看root進程,除了系統(tǒng)管理員用su命令從終端進入root,系統(tǒng)
啟動,系統(tǒng)停止時間,以及由init(通常init只啟動getty,login,登錄shell),
cron啟動的進程和具有root SUID許可的命令外,不應(yīng)當(dāng)有任何root進程.
由記帳系統(tǒng)也可獲得有關(guān)每個用戶的CPU利用率,運行的進程數(shù)等統(tǒng)計數(shù)
據(jù).

(2)其它檢查命令
*du:報告在層次目錄結(jié)構(gòu)(當(dāng)前工作目錄或指定目錄起)中各目錄占用的
磁盤塊數(shù).可用于檢查用戶對文件系統(tǒng)的使用情況.
*df:報告整個文件系統(tǒng)當(dāng)前的空間使用情況.可用于合理調(diào)整磁盤空間的
使用和管理.
*ps:檢查當(dāng)前系統(tǒng)中正在運行的所有進程.對于用了大量CPU時間的進程,
同時運行了許多進程的用戶,運行了很長時間但用了很少CPU時間的
用戶進程應(yīng)當(dāng)深入檢查.還可以查出運行了一個無限制循環(huán)的后臺進
程的用戶,未注銷戶頭就關(guān)終端的用戶(一般發(fā)生在直接連線的終端).
*who:可以告訴系統(tǒng)管理員系統(tǒng)中工作的進展情況等等許多信息,檢查用
戶的登錄時間,登錄終端.
*su:每當(dāng)用戶試圖使用su命令進入系統(tǒng)用戶時,命令將在/usr/adm/sulog
文件中寫一條信息,若該文件記錄了大量試圖用su進入root的無效操
作信息,則表明了可能有人企圖破譯root口令.
*login:在一些系統(tǒng)中,login程序記錄了無效的登錄企圖(若本系統(tǒng)的
login程序不做這項工作而系統(tǒng)中有l(wèi)ogin源程序,則應(yīng)修改login).
每天總有少量的無效登錄,若無效登錄的次數(shù)突然增加了兩倍,則表
明可能有人企圖通過猜測登錄名和口令,非法進入系統(tǒng).
這里最重要的一點是:系統(tǒng)管理沒越熟悉自己的用戶和用戶的工作習(xí)慣,
就越能快速發(fā)現(xiàn)系統(tǒng)中任何不尋常的事件,而不尋常的事件意味著系統(tǒng)已被人
竊密.


(3)安全檢查程序的問題
關(guān)于以上的檢查方法的一個警告,若有誘騙,則這些方法中沒有幾個能防
誘騙.如find命令,如果碰到路徑名長于256個字符的文件或含有多于200個文
件的目錄,將放棄處理該文件或目錄,用戶就有可能利用建立多層目錄結(jié)構(gòu)或
大目錄隱藏SUID程序,使其逃避檢查(但find命令會給出一個錯誤信息,系統(tǒng)管
理員應(yīng)手工檢查這些目錄和文件).也可用ncheck命令搜索文件系統(tǒng),但它沒有
find命令指定搜索哪種文件的功能.
如果定期存取.profile文件,則檢查久未登錄用戶的方法就不奏效了.而
用戶用su命令時,除非用參數(shù)-,否則su不讀用戶的.profile.
有三種方法可尋找久未登錄的帳戶:
. UNIX記帳系統(tǒng)在文件/usr/adm/acct/sum/login中為每個用戶保留了最
后一次登錄日期.用這個文件的好處是,該文件由系統(tǒng)維護,所以可完全
肯定登錄日期是準(zhǔn)確的.缺點是必須在系統(tǒng)上運行記帳程序以更新
loginlog文件,如果在清晨(午夜后)運行記帳程序,一天的登錄日期可
能就被清除了.
. /etc/passwd文件中的口令時效域?qū)⒛芨嬖V系統(tǒng)管理員,用戶的口令是
否過期了,若過期,則意味著自過期以來,戶頭再未被用過.這一方法的
好處在于系統(tǒng)記錄了久未用的戶頭,檢查過程簡單,且不需要記帳系統(tǒng)
所需要的磁盤資源,缺點是也許系統(tǒng)管理員不想在系統(tǒng)上設(shè)置口令時效,
而且這一方法僅在口令的最大有效期(只有幾周)才是準(zhǔn)確的.
. 系統(tǒng)管理員可以寫一個程序,每天(和重新引導(dǎo)系統(tǒng)時)掃描/etc/wtmp,
自己保留下用戶最后登錄時間記錄,這一方法的好處是不需要記帳程序,
并且時間準(zhǔn)確,缺點是要自己寫程序.
以上任何方法都可和/usr/adm/sulog文件結(jié)合起來,查出由login或su登
錄戶頭的最后登錄時間.
如果有人存心破壞系統(tǒng)安全,第一件要做的事就是尋找檢查程序.破壞者

推薦閱讀

• 

  水煮蠶豆會發(fā)胖嗎
• 

  協(xié)和維生素e乳能擦臉嗎
• 

  手機上的文件怎么傳到u盤 手機上的文件傳到u盤的方法
• 

  滾筒洗衣機如何保養(yǎng)
• 

  山姆可以線上退卡嗎 山姆退卡規(guī)則流程退卡退錢嗎
• 

  三角關(guān)系 三角關(guān)系by桐宿
• 

  天然氣壓力大了會成液態(tài)嗎
• 

  青島有哪些好玩好吃的推薦為什么
• 

  跑步多了膝蓋疼怎么辦
• 

  QQ飛車手游錦瑟傾城套裝怎么獲得 錦瑟傾城套裝點券鉆石價格
• 

  備用手機買華為什么好,哪款手機用來做備用機比較好
• 

  白羊佳苑在哪里,16日廣東路小區(qū)景明佳園等處停電檢修
• 

  如何取消支付寶基金定投
• 

  如何選擇游戲鼠標(biāo) 怎么選擇游戲鼠標(biāo)
• 

  躬耕不輟付春華意思
• 

  飛機可以攜帶多大的充電寶

• win10系統(tǒng)中電腦關(guān)機無反應(yīng)具體處理步驟
• SCO UNIX 根文件系統(tǒng)的清理
• Unix系統(tǒng)中按需定制用戶工作環(huán)境
• UNIX常用的系統(tǒng)調(diào)用
• Win10系統(tǒng)中瀏覽器提示已完畢但網(wǎng)頁上有錯誤具體處理步驟
• win7系統(tǒng)中調(diào)節(jié)壁紙大小具體操作方法
• 程序員安全
• 5g信號塔輻射安全距離是多少
• 網(wǎng)絡(luò)安全
• 如何完成UNIX系統(tǒng)中大批量數(shù)據(jù)的自動備份